Вам письмо. Чему учат известные кейсы BEC-атак

Email – самый популярный вектор атаки среди киберпреступников. Так есть сегодня, было вчера и, скорее всего, будет завтра. Причем дело не только в простоте техники.

Почему преступники выбирают почту для атак? Как именно корпорации отдают им миллионы и портят себе репутацию? И можно ли на 100% защитить компанию от таких инцидентов? Громкие кейсы, мнения и рекомендации экспертов Cyber Media – в этой статье.

Почему именно email

Электронной почтой по всему миру пользуются 4,14 млрд человек – подсчитали в Statista. Фактически это больше половины всего населения Земли (8,1 млрд). Более того, ожидается, что к 2025 году количество email-пользователей возрастет еще на 500 млн.

Все это говорит об одном: email – самое популярное средство обмена информацией. Во многом поэтому киберпреступники используют почту чаще остальных точек входа в корпоративную сеть. Причем количество таких инцидентов растет.

Роман Мискевич

Технический директор ПО Anwork

За пять месяцев текущего года рост BEC-атак (Business email compromise — «компрометация корпоративного email») составил 15% по сравнению с аналогичным периодом прошлого года. Предпосылками к этому стали отсутствие знаний информационной защиты у сотрудников компаний, а также легкомысленный подход бизнеса к средствам корпоративной коммуникации и их безопасности. Например, повальное использование общедоступных мессенджеров.

Почта остается популярной среди пользователей и преступников по очевидным причинам. Сегодня это наиболее доступный и легкий в использовании инструмент для коммуникации между людьми.

Майя Пасова

Аналитик ИБ в компании R-Vision

Если для регистрации в различных мессенджерах, таких как Телеграм и WhatsApp, требуется иметь номер телефона, то электронный почтовый ящик можно легко создать, не подтверждая свою личность сторонними идентификаторами.

Также стоит отметить, в матрице MITRE ATT&CK одним из способов снижения вероятности реализации фишинг-атак является awareness – повышение осведомленности сотрудников, в котором невозможно избежать использование человеческого фактора. Злоумышленник может таким образом использовать наработанный материал посредством OSINT, чтобы указать в фишинговом емейле наиболее чувствительную для жертвы тему, и никакое обучение уже не сможет остановить пользователя открыть это письмо.

Особенно незащищенными остаются email сотрудников, которым приходится общаться с большим количеством людей вне компании. Обычно их адреса можно найти в открытом доступе.

Лука Сафонов

Технический директор компании Weblock (холдинг «Гарда»)

Адреса коммерческого отдела или отдела кадров подразумевают большое количество итераций с новыми адресатами с разного рода вложениями и типами писем. Также существует огромное количество способов сбора почтовых ящиков: от перебора и скрапинга до эксфильтрации из сервисов рассылок и подписок. Также зачастую логин и пароль к почте идентичны доменной учетке и при должной удаче дадут доступ к корпоративной сети или ее сервисам.

Очень часто бывает, что у топ-менеджмента довольно простые пароли (на них не действуют общекорпоративные политики ИБ), и они подбираются простым перебором по словарю.

Такое легкомыслие, по словам экспертов, обходится бизнесу очень дорого – только репутационные риски составляют сотни миллионов рублей. При всем этом обмануть жертву могут даже преступники-новички.

Андрей Лукин

CTO IT-компании IT’s done

Так как протокол email достаточно простой, адрес отправителя можно легко подделать. Этим пользуются злоумышленники и выдают себя за других людей. Затем они вставляют в письма фишинговые ссылки, с целью получить доступ к личным данным пользователей.

Спуфинг, или подмена адреса, фиксируется в 67,5% рассылок писем с вредоносным кодом. Такими данными делятся эксперты F.A.С.С.T. Они отмечают, что метод наиболее активно применялся в атаках на российские благотворительные фонды в 2020 и 2021 годах. Тогда сотрудники получили поддельные письма от руководства с просьбой перевести средства на указанные реквизиты. В 2023 году спуфинг помог преступникам в вредоносной email-рассылке по российским компаниям. При этом чаще таким образом распространялись шпионское ПО и стилеры. 

Евгений Нургалиев

Директор департамента предоставления ИТ и ИБ услуг компании Simplity

Относительная простота реализации такого вектора атаки связана с тем, что злоумышленнику нет необходимости «ломать» хорошо защищенные периметральные средства защиты (маршрутизаторы, межсетевые экраны), а можно, к примеру, обеспечить запуск вредоноса непосредственно на рабочем месте пользователя. И есть немаленькие шансы, что локальные средства защиты пропустят эту угрозу, компьютер пользователя перейдет под полный контроль злоумышленника и позволит ему осуществить дальнейшее развитие вектора вглубь целевой ИТ-инфраструктуры.

При этом, по его словам, в большинстве средних и крупных компаний электронная почта настроена таким образом, что пользователь может подключаться из любой точки мира и с любого устройства. Если нет сильного пароля и в почтовом сервисе есть незакрытые уязвимости – злоумышленник сможет провести BEC-атаку.

Слабая защита и человеческий фактор часто становятся поводом для преступного использования email. И то, и другое – причины, за которые несут ответственность сами компании-жертвы.

Антон Мерцалов

Эксперт технологической практики ТеДо

Далеко не все компании уделяют достаточное количество ресурсов для обеспечения защиты корпоративной почты. Кроме того, за большинством корпоративных email’ов стоят сотрудники, которые без надлежащего обучения могут быть восприимчивыми к методам социальной инженерии.

Однако, по его словам, даже с обучением есть риск, что жертва обратит внимание на письмо, откроет вредоносный файл, пройдет по ссылке или вовлечется в BEC-атаку. Виной тому – беспечность пользователей, которая часто возникает из-за страха перед руководством и мнимого контроля ситуации.

Глеб Абрамов

Руководитель направления аудита ИБ ITGLOBAL.COM Security

Киберпреступники знают, что люди привыкли открывать и отвечать на электронные письма, особенно если письмо от руководства или ключевого клиента, и они могут использовать это для своих злонамеренных целей.

Кроме того, у сотрудников компаний создается ложное чувство безопасности, ведь они думают, что их почту защищают крутые сервисы, штат из специалистов ИТ и ИБ, поэтому более попустительски относятся к безопасности в корпоративных переписках.

С проверкой почтовых серверов и сервисов на стороне бизнеса действительно бывают проблемы. В целом безопасность этого периметра часто на деле оказывается сомнительной, в том числе в части архитектуры решений и организации защиты.

Андрей Воробьев

Директор Координационного центра доменов .RU/.РФ

Из-за требований обратной совместимости и гигантского количества различных решений, стандарты безопасности электронной почты остались, в основном, на уровне 70-х годов прошлого века.

Не прижилась даже простейшая электронная подпись сообщений, хотя те же мессенджеры уже много лет используют полноценное p2p-шифрование. В результате сегодня невозможно без внешних программ и сервисов ни проверить личность отправителя email, ни оценить безопасность отправляемого им контента. Хуже дела с безопасностью обстоят только в сфере голосовой телефонной связи.

Ситуацию усугубляет то, что обычно почтовые серверы находятся внутри корпоративной сети, а email-сервисы плотно встраиваются в ИТ-инфраструктуру компании. Именно поэтому атаки с помощью электронной почты развиваются стремительно. И если письмо сработало, то злоумышленники быстро достигают цели.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Рабочий день офисных сотрудников начинается с чтения почты, а многие корпоративные сервисы интегрированы с почтой и почтовыми оповещениями. Поэтому почта, как один из каналов атаки, остается и будет оставаться одним из опасных в дальнейшей перспективе. 

При этом эксперты считают, что в ИБ-подразделениях многих компаний знают о проблеме. Но далеко не всегда ставят ее в число приоритетных. Именно поэтому каждый год приносит множество скандальных историй об email-атаках на бизнес.

Как корпорации становятся жертвами

На удочку киберпреступников попадаются все компании – и мелкие, и крупные. Только для кого-то ущерб составляет сотни тысяч рублей, а для других – миллионы долларов.

Алексей Иванов

Инженер по ИБ компании «Диджитал Дизайн»

Показателен кейс, когда злоумышленник очень незначительно, буквально на один символ, подделал домен известного производителя электроники из Тайваня и рассылал счета в различные крупные компании, в том числе Facebook и Google. У мошенника была схема получения информации о лицах, ответственных за выставление платежных документов. В результате ему удалось получить на свои счета более 120 млн долларов.

Обман был делом рук не многочисленной хакерской группировки, а буквально одного злоумышленника. Мошенник выступал мозговым центром схемы, а другие задействованные лица выполняли механические действия по сбору данных, обзванивая компании.

Этот кейс, по его словам, подтверждает важность человеческого фактора в защите от атак по корпоративной почте. Даже в крупных компаниях со значительным ИБ-бюджетом нет такого уровня информационной безопасности, на котором организация может считать себя полностью защищенной. Еще один громкий пример, который это доказывает, – атака на Ubiquiti Networks.

Артем Избаенков

Директор по развитию направления кибербезопасности EdgeЦентр

Один из самых показательных кейсов – история компании Ubiquiti Networks, которая произошла в 2015 году. Злоумышленники подделали электронную почту главного исполнительного директора компании и отправили письмо финансовому отделу с просьбой осуществить перевод средств на иностранный банковский счет. Компания потеряла около 46,7 млн долларов.

Facebook*, Google и Ubiquiti Networks – далеко не единственные корпорации, которые попали в email-уловку киберпреступников. Огромные потери за последние десять лет также понесли другие мировые бренды. Рассмотрим самые громкие кейсы подробнее. 

Sony Pictures Entertainment (2014). Хакеры использовали фишинговые электронные письма для проникновения в сеть компании и получили доступ к конфиденциальной информации не столько студии, но и других дочерних компаний Sony.

Mattel (2015). Злоумышленники обманули финансовый отдел мирового лидера по производству игрушек. Они внесли изменения в информацию о поставщиках, чтобы перенаправить платежи на свои счета. В результате компания потеряла около 3 млн долларов.

Leoni AG (2016). Киберпреступники использовали фишинговые письма, чтобы узнать реквизиты банковских счетов компании Leoni AG, немецкого производителя проводов и кабелей. В итоге было украдено более 40 млн евро.

Nikkei Inc. (2019). Злоумышленники взломали электронные почтовые ящики сотрудников японской компании Nikkei и отправили фальшивые счета клиентам на более чем 29 млн долларов. Они также отправили фальшивое сообщение журналистам с дезинформацией о компании.

FACC AG (2020). Китайская хакерская группа APT41, известная также как Winnti, была обвинена в атаке на австрийского производителя авиационных компонентов FACC AG. В результате этой атаки злоумышленники украли около 50 млн евро.

Honda (2020). В июне 2020 года японский автопроизводитель Honda столкнулся с кибератакой, которая привела к приостановке производства на несколько дней в некоторых из его заводов. Атакующие использовали вредоносное программное обеспечение, которое распространялось через внутреннюю электронную почту.

Garmin (2020). В июле того же года атакующие использовали фишинговую атаку, чтобы получить доступ к корпоративной сети производителя навигационного оборудования Garmin. В результате атаки была нарушена работа онлайн-сервисов компании, включая Garmin Connect, что затронуло миллионы пользователей.

Кроме того, в 2020 году произошла серия BEC-атак на здравоохранение, связанная с пандемией COVID-19. Киберпреступники выдавали себя за официальных представителей ВОЗ и других организаций для обмана и получения денег.

Как обезопасить себя и компанию

Блокчейн-технологии, квантовая криптография, распознавание поведения пользователей с использованием ИИ – эти и другие новые решения для защиты от email-атак уже внедряют в компаниях. Хотя подобные инвестиции, скорее, исключение из общей ситуации на рынке.

Пока, как отмечают эксперты, многим компаниям еще нужно выстроить базовую защиту. И для этого достаточно стандартных технических инструментов:

• SPF (Sender Policy Framework) –  механизм аутентификации, который позволяет проверять, является ли отправитель электронной почты действительным для данного домена,
• DKIM (DomainKeys Identified Mail) – метод цифровой подписи для удостоверения целостности и аутентичности электронной почты,
• DMARC (Domain-based Message Authentication, Reporting, and Conformance) – политика, которая объединяет SPF и DKIM для установления правил проверки аутентичности электронной почты,
• XDR (Extended Detection and Response) – системы информационной безопасности, предназначенные для автоматического проактивного выявления угроз на разных уровнях инфраструктуры, реагирования на них и противодействия сложным атакам,
• IPS (Intrusion Prevention System) – системы предотвращения вторжений,
• DLP (Data Loss Prevention) – ПО, предназначенное для защиты компании от утечек информации,
• локальные и облачные «песочницы»,
• почтовые антивирусы,
• анализаторы трафика и другие решения.

При этом все эксперты советуют использовать двухфакторную аутентификацию. А некоторые даже рекомендуют перейти на новые способы.

Лука Сафонов

Технический директор компании Weblock (холдинг «Гарда»)

Одной из оптимальных мер будет использование passwordless-технологий – это альтернативные методы аутентификации, которые не требуют использования традиционных паролей.

В их числе биометрическая аутентификация. Метод использует уникальные физические характеристики пользователя, такие как отпечаток пальца, сканирование лица или сетчатки глаза, для проверки личности.

Также к passwordless относятся аппаратные токены – устройства, которые генерируют одноразовые пароли или криптографические ключи для аутентификации. Токены могут быть подключены к компьютеру или мобильному устройству через USB или беспроводное соединение.

Кроме того, эксперт рекомендует ввести одноразовые пароли. Они отправляются пользователю на зарегистрированное им устройство, который он может использовать для входа в систему. Такой пароль обычно действует только в течение ограниченного времени или одной сессии.

При выборе средств защиты эксперты советуют уделить внимание тому, как они создаются. Так, уже на стадии проектирования архитектуры решения должны учитываться модель угроз и безопасность кода.

Александр Буравцов

Директор по ИБ МойОфис

Организациям с повышенными требованиями ИБ следует выбирать защищенные и сертифицированные решения, безопасность которых была подтверждена регуляторами.

Многое также зависит и от процессов разработки, которые применяет создатель почтового решения — желательно, чтобы производитель следовал принципам безопасной разработки SSDLC.

Технические решения лучше использовать комплексно, добавляют собеседники Cyber Media. А еще лучше – если параллельно внедрению ПО будет проходить постоянное обучение сотрудников. В идеале должны обновляться правила работы с email, проходить учения и другие мероприятия. Главное – чтобы персонал не забывал о том, что при работе с email нужно всегда сохранять бдительность.

Алексей Иванов

Инженер по ИБ компании «Диджитал Дизайн»

Сами по себе технические решения не помогут на 100% защитить компанию от кибератак по email. Необходимы административные регламенты и обучение сотрудников основам информационной безопасности при работе с корпоративной почтой.

Защита техническими средствами всегда должна быть подкреплена обучением персонала правилам безопасной работы с корпоративной электронной почтой.

В первую очередь, по его словам, это относится к критически важным сотрудникам, которые могут являться точкой входа в информационную среду компании для дальнейшего распространения атаки — работники финансово-экономического сектора, те, кто обладают доступом к ноу-хау и иной конфиденциальной информации, кто имеет административные права в корпоративной сети.

Выводы

Защитить компанию от BEC-атак полностью нельзя. Даже если подстраховаться и внедрить все необходимое ПО, то предугадать поведение преступников не получится. И хотя уже много лет они используют email как основной вектор атаки, даже самые компетентные пользователи часто вливаются в поток жертв и тянут на дно свою компанию.

Но все это с одной стороны. С другой – средства защиты от BEC-атак эволюционируют. Как отмечают эксперты, уже в ближайшие годы ИИ-решения смогут распознавать фишинговые письма в разы корректнее и быстрее людей. Станет ли скандальных кейсов с email-атакими меньше – узнаем уже скоро. 

* Facebook принадлежит компании Meta, признанной экстремистской организацией на территории РФ, ее деятельность в России запрещена.